Negli ultimi anni è molto cresciuto il livello di preparazione delle aziende in tema di cybersecurity, la “Readiness” o preparazione per l’eventualità di un incidente di sicurezza. Secondo quanto riporta lo “Hiscox Cyber Readiness Report 2020“, prodotto dalla società di assicurazioni Hiscox analizzando e confrontando con gli anni precedenti la “prontezza” in ambito cyber di imprese di 8 paesi (Belgio, Francia, Germania, Irlanda, Olanda, Spagna, UK e USA), la percentuale di aziende che ha raggiunto lo status di “esperto” nel modello di cyber risk management è cresciuta, passando dal 10% nel 2018 al 18% nel 2019. Le aziende statunitensi e quelle irlandesi hanno ottenuto i risultati migliori, con un 24% di organizzazioni “esperte”. La Francia registra invece il miglioramento più alto, con un 18% delle imprese classificate come esperte e un incremento del 6% rispetto all’anno precedente.

Anche secondo il “Cyber Resilient Organization Report”, lo studio annuale di Ponemon Institute (promosso da IBM Security), volto a misurare il livello di preparazione delle aziende nei confronti del rischio di attacchi informatici, negli ultimi 5 anni molte delle organizzazioni intervistate hanno adottato piani di security strutturati: dal 18% nel 2015 si è passati al 26% nell’ultimo anno, con una crescita complessiva del 44% in 5 anni.

Detto questo, però, le buone notizie sono finite.

Dai risultati del primo studio, della società di assicurazioni Hiscox, si ottiene che le perdite legate a incidenti cyber sono aumentate di quasi 6 volte nel corso dell’ultimo anno, passando da un costo medio per azienda intorno a 10mila dollari fino a 57mila dollari. La perdita più elevata è stata nel 2019 pari a 87,9 milioni di dollari (per una società di servizi finanziari del Regno Unito): i settori più colpiti sono infatti il mondo dei servizi finanziari, energy, manifatturieri e tecnologici, media e TLC.

Fonte: Hiscox Cyber Readiness Report 2020

Lo studio ha anche rilevato una crescita di coperture assicurative contro incidenti informatici: la percentuale di intervistati che dichiara di aver acquistato l’assicurazione informatica (cyber insurance) in seguito a un evento che ha riguardato l’area IT è aumentata costantemente negli ultimi tre rapporti, dal 9% a, oggi, il 20%.  Considerando solo le aziende “esperte” in tema di cyber risk management, quasi la metà (45%) afferma di essersi dotata di un copertura cyber specifica. “Il ricorso a una cyber insurance stand alone, tuttavia, è molto disomogeneo” ha detto Gareth Wharton, Cyber CEO di Hiscox. “Oltre la metà delle aziende ha in genere una copertura assicurativa più ampia, non specifica per i rischi cyber. Questo ci stupisce molto: quasi sicuramente le aziende si dotano di coperture per incendio e furto, mentre sappiamo che la probabilità di subire un incidente informatico è 15 volte più alta (occorrenza pari al 30% nel Regno Unito) rispetto a un incendio o furto (occorrenza del 2% nel Regno Unito).”

Sempre secondo la ricerca di Hiscox, non bisogna pensare che siano soltanto le grandi organizzazioni a subire attacchi informatici, perché oggi questi sono rivolti ad aziende di tutte le dimensioni. Nelle microimprese, gioca a sfavore il fatto di non avere nessuno che gestisce gli aspetti di sicurezza informatica. “Le imprese di trasporto e distribuzione più piccole sono particolarmente vulnerabili, con il 59% che afferma di non avere figure deputate alla cybersecurity, interne o esterne” riporta il report.  E dove si dipende da un provider esterno di servizi gestiti, questa può diventare una vulnerabilità ulteriore qualora sia l’MSP ad essere attaccato.  Un’altra spiegazione sulla particolare vulnerabilità delle imprese più piccole è la loro mancanza di contromisure efficaci. “L’analisi suggerisce che le aziende con meno di 12 computer, dove l’antivirus o l’antispyware sono distribuiti in modo poco coerente in tutta l’organizzazione, sono particolarmente suscettibili ad attacchi cyber.”

L’analisi di Hiscox sottolinea quanto stia cambiando l’attenzione sul tema della formazione dei dipendenti in ambito cybersecurity: le aziende che affermano di voler investire in security awareness sono infatti passate in un anno dal 34% al 40%. Inoltre, oltre un terzo (35%) sta pianificando di incrementare lo staff dedicato alla cybersecurity, rispetto al 26% di 2 anni fa.

Con riferimento invece alle problematiche individuate dall’analisi di Ponemon, queste sono:

• I Cybersecurity incident response plans (CSIRP), utili per minimizzare la business disruption in caso di incidente cyber, stanno crescendo in adozione (+44% rispetto al 2015), ma, ciò nonostante, il 51% dei rispondenti ha affermato che il proprio CSIRP non è impiegato in modo diffuso attraverso tutta l’organizzazione e che è soltanto informale. Anche tra chi ha definito un piano formale, solo un terzo ha previsto dei playbook (guide comprensive di tutte le azioni da mettere in campo) per la risposta a specifici attacchi, come DDoS e Malware. Ancora meno quelli che hanno previsto azioni per attacchi emergenti e a grande impatto come il ransomware.

Fonte: Cyber Resilient Organization Report

• Le organizzazioni di maggiore dimensione utilizzano oggi un gran numero di tecnologie e ambienti di security separati: il 30% ne ha in uso oltre 50. Questo aspetto aumenta la complessità della gestione e riduce la capacità complessiva di cyber resilience. Le aziende con un numero di strumenti superiore a 50 risultano infatti meno efficaci sia negli aspetti di detection di un attacco, sia nell’efficacia della risposta.

Fonte: Cyber Resilient Organization Report

Infine, secondo l’analisi Ponemon, il volume e la gravità degli attacchi stanno aumentando. Oltre il 53% delle aziende intervistate ha subito negli ultimi 2 anni almeno un data breach con perdita o furto di oltre 1.000 record contenenti informazioni sensibili o dati confidenziali dei clienti; il 51% delle aziende ha notificato un incidente cyber che ha comportato un impatto rilevante sui sistemi IT e sui processi del business. Guardando alle motivazioni per cui si ottengono così pochi risultati dalle iniziative di cybersecurity, queste sono purtroppo le stesse degli anni precedenti: mancanza di personale con skill adeguati, budget inadeguato, resistenze interne all’organizzazione, mancanza di visibilità su tutto lo stack delle applicazioni e degli asset informativi.